Я использую шлюз Google Cloud VPN и пытаюсь подключиться к устройству CISCO ASA 5545 сторонней организации. Это статическая настройка маршрута, и маршрутизатор Cisco использует только IKE v1.
У меня есть эта проблема, когда из журналов я мог видеть, что соединение установлено, затем он говорит о смене расписания сразу после, затем получил уведомление об ошибке INVALID_ID_INFORMATION, затем получил DELETE для IKE_SA vpn_ [PEER IP], затем удалил IKE_SA vpn_ [PEER IP] между [ ОБЩЕСТВЕННЫЙ IP-адрес VPN] ... [ПЕРВНЫЙ IP-адрес]. Это продолжает повторяться в журнале.
Очевидно, есть несоответствия конфигурации; локальный клиент хочет, чтобы я изменил шифрование на AES-256 или 3des, потому что «устройство не поддерживает AES 128». Можно ли вообще изменить шифрование для Google Cloud VPN после того, как вы решили использовать IKEv1?
Согласно документации https://cloud.google.com/compute/docs/vpn/advanced, IKEv1 использует шифрование aes-cbc-128, можно ли изменить его на aes-256? Можно ли заставить локальное устройство работать с aes-128?
Использование статического маршрута и IKEv1 создавало значительные ограничения, но это было то, что поддерживал сторонний партнер. Самым важным было то, что я не мог использовать блоки multi-cidr и был ограничен aes-128 для шифрования.
После поиска некоторых ошибок в журнале, включая INVALID_ID_INFORMATION, я обнаружил ссылки, которые предполагали, что шифрование на устройстве ASA не соответствовало. Я просмотрел это в руководстве и обнаружил, что есть опция aes, которая на самом деле была aes-128. Как только это было решено на одноранговом устройстве, я получил еще один НЕДОСТАТОЧНЫЙ HASH ID в журнале.
Проверка статуса подключения в gcloud оказалась очень полезной https://cloud.google.com/compute/docs/vpn/creating-vpns. Пользовательский интерфейс дает мало информации по этому поводу:
gcloud compute --project [PROJECT_ID] vpn-tunnels describe tunnel1 --region us-central1
Это дало следующий полезный результат:
Please verify that the network range and the remote network IP ranges of the tunnel match the configured IP ranges on the peer device.
Последняя часть была довольно легкой; после сопоставления блоков cidr, определенных на одноранговом устройстве в селекторе локального трафика облачного vpn-туннеля, туннель появился.
Итак, чтобы ответить на некоторые вопросы: можно ли изменить настройку шифрования на облачном vpn? Нет
Можно ли заставить локальное устройство Cisco 5545 работать с aes-128? Да.